Главная страница
О проекте Навигация Контакт
Поиск


ru.cisco

 
 - RU.CISCO ---------------------------------------------------------------------
 From : Victor Sudakov                       2:5020/400     16 Nov 2001  17:20:13
 To : "Simachev Maxim"
 Subject : Re: Глюк c access-list ...
 -------------------------------------------------------------------------------- 
 
 Simachev Maxim <simachev_maxim_v@sterling.ru> wrote:
 
 > 
 > Тытаюсь установить соединение по IPsec каналу
 > 192.168.5.87 =>192.168.15.221:3389
 > Циска показывает
 > sh ip ispect ses
 > Session 823AFB58 (192.168.5.13:1597)=>(192.168.15.221:3389) tcp SIS_OPEN
 > 
 > А сама прога не работает (это терминальный клиент). Отваливается по
 > тайм-ауту.
 > Пишу в аксес лист на внешний интерфейс циски за которой находится
 > 192.168.15.221
 > permit ip any any
 > 
 > Опять устанавливаю соединение. Заработало. значит ошибка в access-list
 > думаю.
 > 
 > Осуществляю следующий хитрый ход убираю из аксес листа.
 > 
 > permit ip any any
 > 
 > Опять конекчусь, работает!!!!!!!
 > Затем прога работает какое-то время и через  промежуток времени давольно
 > таки продолжительный отваливается.
 > 
 > Все повторил такая же фигня.
 > В чем прикол-то?
 
 Рискну сделать предположение. Если я неправ, пусть меня поправят.
 Сам только недавно разбирался с CBAC.
 
 > 
 > interface Ethernet0/1
 > ip address A-cisco
 > ip access-group ACL in
 
  ^^^^^^^^^^^^^^^^^^^^^^^^ если здесь in
 
 > ip mtu 1024
 > ip inspect INSP in
 
   ^^^^^^^^^^^^^^^^^^^ здесь должно быть out
 
 Если ты хочешь, чтобы CBAC динамически менял этот ACL. 
 
 Кстати, почему не показал "ip inspect name INSP" ?
 
 > no ip mroute-cache
 > half-duplex
 > service-policy output llq
 > no cdp enable
 > crypto map MAP
 > 
 > Аксес лист следующий.
 > ip access-list extended ACL
 > deny   ip host 255.255.255.255 any
 > deny   ip DMZ_NET any
 > permit ip MY_DMZ_NET DMZ_NET
 > permit ip host MY_CISCO host A-cisco
 > permit ip 192.168.5.0 0.0.0.255 192.168.15.0 0.0.0.255
 > permit tcp any host Server-DMZ eq smtp
 > permit udp any host Server-DMZ eq domain
 > permit tcp any host Server-DMZ eq domain
 > 
 
 Может, "sh ip inspect all" что-нибудь тебе прояснит.
 
 -- 
 Victor Sudakov,  VAS4-RIPE, VAS47-RIPN
 2:5005/149@fidonet http://vas.tomsk.ru/
 PGP key: finger vas@mpeks.tomsk.su
 --- ifmail v.2.15dev5
  * Origin: AO "Svyaztransneft", SibPTUS (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Глюк c access-list ...   Simachev Maxim   16 Nov 2001 14:38:44 
 Re: Глюк c access-list ...   Victor Sudakov   16 Nov 2001 17:20:13 
 Re: Глюк c access-list ...   Simachev Maxim   16 Nov 2001 18:05:15 
 Re: Глюк c access-list ...   Simachev Maxim   16 Nov 2001 19:21:35 
 Re: Глюк c access-list ...   Victor Sudakov   16 Nov 2001 19:25:38 
 Глюк c access-list ...   Andrei Dirotchka   23 Nov 2001 22:00:08 
 Re: Глюк c access-list ...   Denis V. Schapov   28 Nov 2001 09:42:22 
Архивное /ru.cisco/9182bff7da4c.html, оценка 1 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional